MD5 est un algorithme de hashage qui permet de calculer une "signature" à partir d'un fichier. Le principe est que si le fichier change un peu la signature elle est radicalement différente.

Or la signature a une taille fixe (dépendante de l'algorithme) et donc la théorie de l'information veut que plusieurs messages peuvent avoir la même signature (sinon on vient de découvrir l'algorithme de compression ultime !).

Le véritable exploit est bel et bien d'avoir réussi à générer un certificat qui a le même MD5 qu'un autre certificat...

SHA-1 (ou 2 ou 3) sont aussi des algos de hash mais plus compliqués... il est donc plus compliqué de volontairement générer un fichier qui donne une signature SHA-1 donné mais ce n'est pas impossible ! C'est juste une question de puissance de calcul et de temps.

Comme toujours quelque part...